[Tanel]

Peale juulis toimunud küberrünnakute lainet panime tähele, et suuremat osa veebilehtedest, mis rünnaku alla sattusid, ühendas üks kindel sarnasus. Kõik veebilehed kasutasid Wordpressi sisuhaldussüsteemi. Arvutimaailm otsustas olukorra tõsisust ise testida ning pani augusti alguses käiku kampaania, mille käigus tehti 50 Eesti Wordpressi platvormil ehitatud kodulehele täiesti tasuta audit.

Mida Arvutimaailm avastas?
43 veebilehel 50-st esinesid turvariskid, mida on võimalik avalike ründevektorite (public-exploitide) kasutamisel rünnata. 45 veebilehel oli võimalik kätte saada haldusliidese kasutaja nimed ning ID’d ning 22 veebilehel oli jäänud haldusliidesesse alles admin nimeline kasutaja. Antud infot on võimalik ära kasutada Brute-Force tüüpi rünnakute läbi viimiseks, kuna 45 veebilehel 50st puudus ka töötav tulemüür, mis takistaks logimiste arvu või üldse antud andmete lekkimist.

Loe edasi: http://www.am.ee/Wordpress-hack

[Riivo]

Kõlab nagu üleskutse rünnata.

[LKits]

Oh, neid lehti on rohkem... Neti.ee domeenide nimekirjas olevatest lehtedest, millel WordPress (60k-st umbes ~15k ehk 25%), on umbes ~85% (~12.5k) aegunud versioon, ning ~10% (~1.5k) versioon 3.x ning haavatavad pluginad.
Ehk neid on üle tuhande.

[ded1cated]

link :: https://www.webarxsecurity.com/2016/09/06/nearly-every-wordpress-website-is-vulnerable-to-hacking/

[Tanel]

[Renka]

[Betamax]

See artikkel tõi veidi selgust. Kergelt reklaamimaiguline värk kokkuvõttes, kuna kirjas pole ühtki viidet, et tegu ajakirjandusliku eksperimendiga. Arvutimaailma pole samuti kordagi mainitud.

[ded1cated]

[LKits]

[UB]

Mingisugune universaalne tööriist on ka olemas, mis aitaks neid ohtusid hinnata või peab selleks kindlasti maksma?

[Mnator]

[ded1cated]

Tegelikult on ju tasuta n.ö Freemium versioone ka (Sucuri, WordFence), mis teevad mingil määral töö ära. Küll aga on Tasuta versioonidega see probleem, et kui sa lõpuks ikkagi häkitud saad siis ega kedagi väga ei huvita. Kusjuures oleme parandanud ka lehti, millel WordFence peal ja ei tuvasta midagi. Kusjuures hiljuti tuli WordFence osas ka artikkel: http://www.whitefirdesign.com/blog/2016/08/24/its-scary-how-little-wordfence-knows-about-security/
Investeeri turvalisusesse ~12€ kuus ja sul on kindlustunne, et leht püsib üleval ja kui on probleeme, siis on kelle poole pöörduda. Või siis oota, kuni leht maha võetakse ja maksa parandamise eest c.a 300€ ja/või tee uus "Turvaline" koduleht.
Loomulikult kõik mis ma kirjutan on kallutatud, sest arendame neile konkureerivat tarkvara.

[LKits]

Eks seal peab paika ka tõdemus, et päris keeruline on kaitsta lehte, kui ründavad skriptid saavad vigastada kaitsemehhanismi.
Ehk senikaua, kuni WordFence ei ole eraldiseisev kaitsevahend, vaid WordPressi plugin, ei suuda too ikkagi täielikult lehte kaitsta.
Siiski, esmase kaitse annab too ilusasti, seda just muudetud failide ja ohtlike PHP käskude (näiteks eval) skänneerimise näol ning samuti töötab ka tulemüür, mis takistab PHP/HTML/Javascript koodi sisestamist GET/POST meetoditel.

Ehk parem, kui mitte midagi

[ded1cated]

Tegelikult pluginana on ta puhtalt selle pärast, et Wordpress'is haldaja saaks ise olukorral silma peal hoida(ja et oleks lihtne paigaldada). Nagu enamus WAF'id on htaccess/php.ini (Apache) põhised ning, kui filtrid on head siis hoiavad nad suurema osa automaatsetest rünnakutest ära. Scannerid on tegelikult juba Post-Hack teema ja ideaalis võiks see mittevajalik olla (loomulikult silmas pidades, et su enda editorid kahtlast sisu ei up'i).
WebARX'i arendamisel oleme silmas pidanud just selliseid väga praktilisi võtteid, mis hoiaksidki ära n.ö automaatsete ja poolautomaatsete rünnakute ja deface'de läbiviimist. (Kusjuures deface'i võib vist häkkimise asemel tänapäeval nimetada Digitaalseks graffitiks)
WPScan võiks olla esimene asi, mis su wordpressi lehel ei toimi ning edasi peaks filtrid olema juba kõik väga exploit specificud, ehk siis firewall'is pole hunnik erinevaid reegleid vaid võimalikult tarkvarast sõltuvad read. Isiklikult usun, et nii võib ka Plugin antud tööga hakkama saada.
Kellele meie tegevus muidu huvi pakub siis asume Pärnus ja hea meelega näitame, mida teeme ja kuulame häid nõuandeid

[LKits]

WPscan annab lihtsa ülevaate jah, see täitsa tasuta ka.

https://blog.sucuri.net/2015/12/using-wpscan-finding-wordpress-vulnerabilities.html

[MacT]

Hoian teemal silma peal

Hiljem postitan ise ka arvamuse